中国的间谍组织攻击高水平目标
总部位于中国的Thrip集团于2018年首次曝光,并在东南亚地区开展攻击,主要针对军事组织和卫星通信运营商。
赛门铁克的最新研究表明,自2018年6月以来,Thrip已经攻击了位于香港,澳门,印度尼西亚,马来西亚,菲律宾和越南的12个目标。对袭击事件的分析显示,与另一个名为Billbug的长期间谍组织有着密切联系,这两个组织可能两者相同。
赛门铁克发现Thrip工具后发现了最近的活动,该工具是一个名为Hannotog的后门,至少从2017年1月开始使用。赛门铁克的目标攻击分析(TAA)允许它发现Hannotog并从那里建立一张小组正在使用的工具,策略和程序。
Hannotog是一个自定义后门,为攻击者提供持久存在于受害者的网络上。它已与其他几个Thrip工具结合使用,包括Sagerunex,另一个为攻击者提供远程访问的自定义后门,以及Catchamas,一种部署在选定计算机上的自定义木马,旨在窃取信息。
“Thrip最近和之前的活动都中心化在一系列雄心勃勃的目标上,包括几个军事目标,”赛门铁克安全响应主管Orla Cox说。 “虽然间谍活动似乎是主要动机,但Thrip早期的攻击也表明了对卫星通信运营商运营方面的兴趣,表明中断是一种可能的动机。 Thrip继续瞄准卫星通信领域的组织,并且似乎没有被去年的曝光所吓倒,这表明他们是一个积极主动的群体,不太可能很快停止活动。“
您可以在Symantec博客上阅读更多信息。
照片来源:karen roach / Shutterstock